Ergebnis 1 bis 2 von 2

Thema: Bitcoin/Versicherungs/Strom Spam / 99smtp.com / contabo.de

  1. #1
    Neues Mitglied
    Registriert seit
    03.09.2005
    Beiträge
    23

    Standard Bitcoin/Versicherungs/Strom Spam / 99smtp.com / contabo.de

    Exemplarisch für mehrer Mails:

    header:
    01: Return-Path: <bounce [at] track.99smtp.com>
    02: Received: from deliver ([unix socket])
    03: by router (Cyrus 2.5.6) with LMTPA;
    04: Sun, 22 Oct 2017 xx:xx:xx +0200
    05: X-Sieve: CMU Sieve 2.4
    06: Received: from mta4.99smtp.com (mta4.99smtp.com [185.12.179.67])
    07: (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
    08: (No client certificate requested)
    09: by mail.evilazrael.net (Postfix) with ESMTPS ID: [ID filtered]
    10: for <poor [at] spamvictim.tld>; Sun, 22 Oct 2017 xx:xx:xx +0200 (CEST)
    11: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=1506529312.99smtp; d=99smtp.com;
    12: h=Message-ID:Date:Subject:From:Reply-To:To:MIME-Version:Content-Type:List-Unsubscribe:List-Id;
    13: i=info [at] 99smtp.com;
    14: bh=sXZqlTqZ0VDIgSKZ01mi/xWR0rw=;
    15: b=fposFJVGsOYoXmfjwRcLGrhISL+k7R6/Solkol44TR2Qz1cfbvQ5DEEVTSQSFgwXVbiQRz6zMkYx
    16: FqTUMkoRDES0mPIBrkcDnUxIyt7gJo8avXH4YWq/l9K7VR2dd2zmNCPtLyA0YFXtaNy0BqF8bAQW
    17: RbHBEpT5GJxBR0bh3cA=
    18: DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=1506529312.99smtp; d=99smtp.com;
    19: b=k7vozi2yv2FcUn+LQ1BbHXjzAKPdLi2T/Gyb6CfoiDqvfAwMYOUVbECbbyHJEDxfXH/EHBQL877J
    20: Z0s/oL7VGnY0ABAnADzqo+qhnRaJe4CpPYN3prB62Z8Bd2SKYrpiZJgT1Xhmk6JT5nulqlE+IUG0
    21: sM45wweCKV0O1QIeSGA=;
    22: Message-ID: [ID filtered]
    23: Date: Sun, 22 Oct 2017 xx:xx:xx +0000
    24: Subject: Machen Sie heute noch ein =?utf-8?Q?Verm=C3=B6gen?= mit Bitcoins
    25: From: Bitcoin Support <info [at] 99smtp.com>
    26: Reply-To: Bitcoin Support <all [at] kapitaltrends.site>
    27: To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
    28: MIME-Version: 1.0
    29: Content-Type: multipart/alternative;
    30: boundary="_=_swift_v4_1508669817_646073c14207c6be4687018171a2f032_=_"
    31: X-Sender: bounce [at] track.99smtp.com
    32: X-Report-Abuse: Please report abuse for this campaign here:
    33: http://track.99smtp.com/index.php/campaigns/*schnapp*/report-abuse/*schnapp*/*schnapp*
    34: X-Receiver: poor [at] spamvictim.tld
    35: X-Jadt-Tracking-DID: [ID filtered]
    36: X-Jadt-Subscriber-UID: [UID filtered]
    37: X-Jadt-Mailer: SwiftMailer - 5.4.x
    38: X-Jadt-EBS: http://track.99smtp.com/index.php/lists/block-address
    39: X-Jadt-Delivery-SID: [ID filtered]
    40: X-Jadt-Customer-UID: [UID filtered]
    41: X-Jadt-Customer-GID: [ID filtered]
    42: X-Jadt-Campaign-UID: [UID filtered]
    43: Precedence: bulk
    44: List-Unsubscribe:
    45: <http://track.99smtp.com/index.php/lists/*schnapp*/unsubscribe/*schnapp*/*schnapp*/unsubscr
    46: be-direct?[UNSUB filtered]>
    47: List-ID: [ID filtered]
    48: Feedback-ID: [ID filtered]

    Beworben werden irgendwelche Bitcoin-Tricks, Gewerbestrom und Versicherungen. Ziel-Adresse ist entweder eine geleakte E-Mailadresse von Destructoid.com, die in der Anti-Public Combo List und Exploit.in Combo List stehen oder eine andere allgemeine Adresse, die u.a. in der River City Meia Spam List und der Leak-Liste von Money Bookers steht.

    Laut Spamcop kommen die Mails aus dem aruba.it Netz. Die Tracking Links zeigen immer auf track.99smtp.com (173.212.228.220), gehostet bei Contabo.de 99stmp.com trägt natürlich kein Impressum, die verwendete Support Skype Keinnung flowra251 lässt sich mit der E-Mail Adresse dj.moonlit@gmail.com verbinden (Quelle CodeCanyon.net), welche wiederum für als Entwickler-Adresse für einige Android Apps einschliesslich Asset Flip/Fake Spiel ( Play Store Booble Shoot Fun Pop ) eingetragen ist. Die Apps gehören angeblich einem Jahirul Islam Mamun, während die E-Mail angeblich einem Jannatul Nayeem mit mehreren eindeutigen Domains (
    Domain Big Data ) gehört, der anscheinend auch gerne mal deutsche Hoster (1&1, Hetzner, contabo...) verwendet. Immerhin sind beide aus Bangladesh. Die Website www.99smtp.com (173.212.208.249) ist auch bei Contabo gehostet.

    Die Mails werden immer brav per Spamcop gemeldet. Passiert ist im letzten Monat nichts. Spamcop schickt reports an abuse@staff.aruba.it. Für contabo wird ein Report an abuse@m-online.net gesendet, während die anderen nach /dev/null gehen:
    Code:
    /dev/null'ing report for postmaster#contabo.de@devnull.spamcop.net
    /dev/null'ing report for abuse#contabo.com@devnull.spamcop.net
    /dev/null'ing report for abuse#contabo.de@devnull.spamcop.net
    Händische Meldungen an abuse@contabo.de führten zu keinerlei Reaktion oder Antwort. Ich bin enttäuscht dass Contabo (ehemals Giga-Hosting.biz) Spammern eine Heimat in Deutschland bietet.
    Geändert von schara56 (22.10.2017 um 18:56 Uhr) Grund: Header anonymisiert

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.348

    Standard

    Schau mal auf:

    http://www.spamhaus.org/sbl/listings/aruba.it

    Alles klar...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen